클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 일부개정법률안

제안이유 최근 디지털 전환의 핵심 인프라로 클라우드 이용이 확산되고 있으나, 클라우드컴퓨팅서비스 제공자와 이용 기업 간의 보안 책임이 모호하여 보안 사각지대가 발생하고 있음. 특히 외부 협력사의 보안 취약점이나 클라우드 접근 권한 설정 오류가 대규모 정보 유출 사고의 주원인이 되고 있음에도 불구하고, 이에 대한 규제는 미비한 실정임. 현행법은 클라우드 보안인증(CSAP) 제도를 운영하고 있으나, 이는 주로 국가 및 공공기관 납품을 위한 요건으로 작용할 뿐 민간 대형 클라우드 이용 기업이나 제공자에게는 강제성이 없어 실효적인 보안 관리에 한계가 있다는 지적이 제기됨. 또한, 클라우드 서비스의 복잡성에 비해 내부 보안 감사나 접근 통제는 기업의 자율에 맡겨져 있어 사고 발생 시 원인 규명과 신속한 대응이 어려운 상황임. 이에 일정 규모 이상의 클라우드컴퓨팅서비스 제공자에 대해 보안인증을 의무화하여 민간 영역의 보안 수준을 공공 수준으로 상향 평준화하고, 클라우드 전문 정보보호 최고책임자 지정 및 정기적인 보안 감사를 통해 사고 예방 및 원인 규명 체계를 강화하려는 것임. 주요내용 가. 클라우드 보안인증기준에 원격 접속자 및 수탁 사업자를 포함한 계정별 식별ㆍ인증과 차등적 접근통제, 이용자 정보 유출 방지 및 서비스 안정성 확보를 위한 기술적ㆍ물리적 보호조치 항목을 명시하여 공급망 보안 위협에 대응하도록 함(안 제23조제3항 신설). 나. 매출액 및 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 클라우드컴퓨팅서비스 제공자의 경우 의무적으로 보안인증을 받도록 하여 이용자 보호를 강화함(안 제23조의2제2항 신설). 다. 클라우드컴퓨팅서비스 제공자로 하여금 정보보호 최고책임자를 지정하여 과학기술정보통신부장관에게 신고하도록 하고, 정기적인 감사 및 개선 관련 자료를 의무적으로 보관하도록 함(안 제23조의5 신설).